Cisco подтвердила попытки киберпреступников эксплуатировать критическую уязвимость в сетевом экране Cisco Adaptive Security Appliance (ASA).

Компания обновила бюллетень к уязвимости, впервые опубликованной 29 января и добавленной в общую базу 7 февраля под номером CVE-2018-0101.

«Команда Cisco по реагированию на инциденты безопасности продуктов (PSIRT) осведомлена о том, что подробности уязвимости из бюллетеня раскрыты публично, — гласит обновленная редакция. — Нам известно о попытках вредоносного использования уязвимости, описанной в бюллетене».

Брешь удостоилась наивысшей, 10-балльной оценки по системе CVSS. Ее первооткрывателем стал Цедрик Халбронн (Cedric Halbronn), исследователь из NCC Group.

В список пострадавших аппаратов входят:

  • устройства промышленной безопасности Cisco ISA серии 3000;
  • межсетевые экраны ASA серий 5500 и 5500-X;
  • адаптивное виртуальное устройство безопасности Cisco ASAv;
  • ряд устройств Firepower и программная защита Firepower Threat Defense.

В случае успешно проведенной атаки злоумышленник сможет перехватывать любой идущий через систему трафик, получив при этом административные привилегии и удаленный доступ к сети, сообщают эксперты из NCC. Однако «попытки воспользоваться брешью без подходящего эксплойта приведут к аварийному завершению работы сетевого экрана и могут оборвать сетевое подключение».

Если верить подробной презентации, которую провел Халбронн на этой неделе на конференции REcon в Брюсселе, брешь оставалась в тени целых семь лет.

Пользователи выложили на Pastebin рабочий код эксплойта, озаглавив его как Cisco ASA CVE-2018-0101 Crash PoC. Точно неизвестно, применяли ли злоумышленники этот код в рамках атак, подтвержденных компанией Cisco.

Производитель выпустил патч к уязвимости, но спустя пару дней поспешил его обновить, когда выяснились дополнительные векторы атаки и влияние патча на функциональность.

Компания допустила баг в XML-парсере продуктов линейки ASA. Атакующему достаточно скормить системе вредоносный файл XML, чтобы «получить полный контроль над системой с возможностью запуска произвольного кода, вызвать перезагрузку скомпрометированного устройства или оставить обработку входящих запросов на аутентификацию VPN», — написано в бюллетене безопасности.

Категории: Главное, Кибероборона, Уязвимости